华为ipsec-vpn-配置

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

AR路由器配置IKE方式的IPSecVPNIPSec(InternetProtocolSecurity)是IETF(InternetEngineeringTaskForce)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。在Internet的传输中,绝大部分数据的内容都是明文传输的,这样就会存在很多潜在的危险,比如:密码、银行帐户的信息被窃取、篡改,用户的身份被冒充,遭受网络恶意攻击等。网络中部署IPSec后,可对传输的数据进行保护处理,降低信息泄漏的风险。采用默认配置通过IKE协商方式建立IPSec隧道示例组网需求如图1所示,RouterA为企业分支网关,RouterB为企业总部网关,分支与总部通过公网建立通信。分支子网为10.1.1.0/24,总部子网为10.1.2.0/24。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。图1采用默认配置通过IKE协商方式建立IPSec隧道组网图配置思路采用如下思路配置采用IKE协商方式建立IPSec隧道:1.配置接口的IP地址和到对端的静态路由,保证两端路由可达。2.配置ACL,以定义需要IPSec保护的数据流。3.配置IPSec安全提议,定义IPSec的保护方法。4.配置IKE对等体,定义对等体间IKE协商时的属性。5.配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。6.在接口上应用安全策略组,使接口具有IPSec的保护功能。操作步骤1.分别在RouterA和RouterB上配置接口的IP地址和到对端的静态路由#在RouterA上配置接口的IP地址。Huaweisystem-view[Huawei]sysnameRouterA[RouterA]interfacegigabitethernet1/0/0[RouterA-GigabitEthernet1/0/0]ipaddress202.138.163.1255.255.255.0[RouterA-GigabitEthernet1/0/0]quit[RouterA]interfacegigabitethernet2/0/0[RouterA-GigabitEthernet2/0/0]ipaddress10.1.1.1255.255.255.0[RouterA-GigabitEthernet2/0/0]quit#在RouterA上配置到对端的静态路由,此处假设到对端的下一跳地址为202.138.163.2。[RouterA]iproute-static202.138.162.0255.255.255.0202.138.163.2[RouterA]iproute-static10.1.2.0255.255.255.0202.138.163.2#在RouterB上配置接口的IP地址。Huaweisystem-view[Huawei]sysnameRouterB[RouterB]interfacegigabitethernet1/0/0[RouterB-GigabitEthernet1/0/0]ipaddress202.138.162.1255.255.255.0[RouterB-GigabitEthernet1/0/0]quit[RouterB]interfacegigabitethernet2/0/0[RouterB-GigabitEthernet2/0/0]ipaddress10.1.2.1255.255.255.0[RouterB-GigabitEthernet2/0/0]quit#在RouterB上配置到对端的静态路由,此处假设到对端下一跳地址为202.138.162.2。[RouterB]iproute-static202.138.163.0255.255.255.0202.138.162.2[RouterB]iproute-static10.1.1.0255.255.255.0202.138.162.22.分别在RouterA和RouterB上配置ACL,定义各自要保护的数据流#在RouterA上配置ACL,定义由子网10.1.1.0/24去子网10.1.2.0/24的数据流。[RouterA]aclnumber3101[RouterA-acl-adv-3101]rulepermitipsource10.1.1.00.0.0.255destination10.1.2.00.0.0.255[RouterA-acl-adv-3101]quit#在RouterB上配置ACL,定义由子网10.1.2.0/24去子网10.1.1.0/24的数据流。[RouterB]aclnumber3101[RouterB-acl-adv-3101]rulepermitipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.255[RouterB-acl-adv-3101]quit3.分别在RouterA和RouterB上创建IPSec安全提议#在RouterA上配置IPSec安全提议。[RouterA]ipsecproposaltran1[RouterA-ipsec-proposal-tran1]quit#在RouterB上配置IPSec安全提议。[RouterB]ipsecproposaltran1[RouterB-ipsec-proposal-tran1]quit此时分别在RouterA和RouterB上执行displayipsecproposal会显示所配置的信息。4.分别在RouterA和RouterB上配置IKE对等体说明:该示例中没有配置IKE安全提议,采用的是系统提供的一条缺省的IKE安全提议。#在RouterA上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。[RouterA]ikepeerspubv1[RouterA-ike-peer-spub]pre-shared-keysimplehuawei[RouterA-ike-peer-spub]remote-address202.138.162.1[RouterA-ike-peer-spub]quit#在RouterB上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。[RouterB]ikepeerspuav1[RouterB-ike-peer-spua]pre-shared-keysimplehuawei[RouterB-ike-peer-spua]remote-address202.138.163.1[RouterB-ike-peer-spua]quit此时分别在RouterA和RouterB上执行displayikepeer会显示所配置的信息,以RouterA为例。[RouterA]displayikepeernamespubverbose----------------------------------------Peername:spubExchangemode:mainonphase1Pre-shared-key:huaweiLocalIDtype:IPDPD:DisableDPDmode:PeriodicDPDidletime:30DPDretransmitinterval:15DPDretrylimit:3Hostname:PeerIpaddress:202.138.162.1VPNname:LocalIPaddress:Remotename:Nat-traversal:DisableConfiguredIKEversion:VersiononePKIrealm:NULLInbandOCSP:DisableLifetimenotification:Enable----------------------------------------5.分别在RouterA和RouterB上创建安全策略#在RouterA上配置IKE动态协商方式安全策略。[RouterA]ipsecpolicymap110isakmp[RouterA-ipsec-policy-isakmp-map1-10]ike-peerspub[RouterA-ipsec-policy-isakmp-map1-10]proposaltran1[RouterA-ipsec-policy-isakmp-map1-10]securityacl3101[RouterA-ipsec-policy-isakmp-map1-10]quit#在RouterB上配置IKE动态协商方式安全策略。[RouterB]ipsecpolicyuse110isakmp[RouterB-ipsec-policy-isakmp-use1-10]ike-peerspua[RouterB-ipsec-policy-isakmp-use1-10]proposaltran1[RouterB-ipsec-policy-isakmp-use1-10]securityacl3101[RouterB-ipsec-policy-isakmp-use1-10]quit此时分别在RouterA和RouterB上执行displayipsecpolicy会显示所配置的信息。6.分别在RouterA和RouterB的接口上应用各自的安全策略组,使接口具有IPSec的保护功能#在RouterA的接口上引用安全策略组。[RouterA]interfacegigabitethernet1/0/0[RouterA-GigabitEthernet1/0/0]ipsecpolicymap1[RouterA-GigabitEthernet1/0/0]quit#在RouterB的接口上引用安全策略组。[RouterB]interfacegigabitethernet1/0/0[RouterB-GigabitEthernet1/0/0]ipsecpolicyuse1[RouterB-GigabitEthernet1/0/0]quit7.检查配置结果#配置成功后,在主机PCA执行ping操作仍然可以ping通主机PCB,它们之间的数据传输将被加密,执行命令displayipsecstatisticsesp可以查看数据包的统计信息。#在RouterA上执行displayikesa操作,结果如下。[RouterA]displayikesaConn-IDPeerVPNFlag(s)Phase---------------------------------------------------------16202.138.162.10RD|ST214202.138.162.10RD|ST1FlagDescription:RD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO--TIMEOUTHRT--HEARTBEATLKG--LASTKNOWNGOODSEQNO.BCK--BACKEDUP#分别在RouterA和RouterB上执行displayipsecsa会显示所配置的信息,以RouterA为例。[RouterA]displayipsecsa===============================Interface:GigabitEthernet1/0/0PathMTU:1500===============================-----------------------------IPSecpolicyname:map1Sequencenumber:10AclGroup:3101Aclrule:5Mode:ISAKMP-----------------------------ConnectionID:16E

1 / 6
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功